先參考服務(wù)器安全設(shè)卸載最不安全的組件置。

用十六進(jìn)制編輯器打開(kāi)ServUDaemon.exe查找Ascii：LocalAdministrator，和#l@$ak#.lk;0@P，
修改成等長(zhǎng)度的其它字符就可以了，ServUAdmin.exe也一樣處理

另外注意設(shè)置Serv-U所在的文件夾的權(quán)限，不要讓IIS匿名用戶(hù)有讀取的權(quán)限，否則人家下走你修改過(guò)的文件，
照樣可以分析出你的管理員名和密碼。Serv-U默認(rèn)是以System組的身份運(yùn)行的，對(duì)本機(jī)有完全操作的權(quán)限。
所以如果攻擊者利用Serv-U程序的漏洞而獲得了可執(zhí)行shell，那么他將可以操作系統(tǒng)里任何一個(gè)目錄。

Liunx系統(tǒng)和Unix系統(tǒng)比Windows安全的一個(gè)重要原因在于：Linux和Unix的系統(tǒng)服務(wù)不使用root權(quán)限，
而是使用權(quán)限比較低的另外一個(gè)單獨(dú)用戶(hù)，比如web服務(wù)使用了nobody這個(gè)用戶(hù)。

為了提升Serv-U的安全級(jí)，我們?yōu)镾erv-U創(chuàng)建一個(gè)獨(dú)立的用戶(hù)，并且讓Serv-U用這個(gè)用戶(hù)的身份來(lái)運(yùn)行。
這樣即使Serv-U由于出現(xiàn)了漏洞而被進(jìn)攻，也只能影響到有限的數(shù)據(jù)，不能影響到系統(tǒng)關(guān)鍵文件。

首先建立一個(gè)用戶(hù)，名稱(chēng)可以任意定義，比如叫做ftpuser。
進(jìn)入開(kāi)始 -> 控制面板 -> 管理工具 -> 計(jì)算機(jī)管理，找到用戶(hù)一項(xiàng)，點(diǎn)擊右鍵選擇添加。
打開(kāi)一個(gè)記事本，隨便敲擊一段密碼，越復(fù)雜越好，16位以上為佳。
把這段密碼復(fù)制下來(lái)，貼到創(chuàng)建新用戶(hù)的對(duì)話(huà)框里邊去。

下邊修改磁盤(pán)權(quán)限，首先修改Serv-U的安裝目錄。點(diǎn)擊右鍵，選擇屬性。切換到安全標(biāo)簽。
可以看到當(dāng)前目錄的權(quán)限是只有管理員和系統(tǒng)用戶(hù)能夠操作。點(diǎn)擊添加，在用戶(hù)名那里輸
入ftpuser，即剛才新建的那個(gè)用戶(hù)。然后點(diǎn)擊確定。將ftpuser的權(quán)限設(shè)置為“讀取及運(yùn)
行”、“列出文件夾目錄”、“讀取”。進(jìn)入目錄，找到ServUAdmin.ini文件，點(diǎn)擊右鍵，
選擇屬性。點(diǎn)擊安全的標(biāo)簽，可以看到當(dāng)前的文件權(quán)限，和剛才設(shè)置的目錄權(quán)限是一致的。
我們給他添加“修改”和“寫(xiě)入”的許可權(quán)限。
在“D:\Serv-U”目錄下找到ServUDaemon.ini這個(gè)文件，
也給他添加“修改”和“寫(xiě)入”的許可權(quán)限。

接下來(lái)給站點(diǎn)目錄添加Serv-U的讀寫(xiě)權(quán)限。給你開(kāi)設(shè)的所有站點(diǎn)分別給予ftpuser權(quán)限，
并將其權(quán)限設(shè)置為除了完全操作之外的所有權(quán)限。

現(xiàn)在對(duì)C盤(pán)設(shè)置權(quán)限。為了不讓Serv-U的運(yùn)行用戶(hù)ftpuser讀寫(xiě)cmd.exe等文件，我們需要給其添加禁止寫(xiě)入的權(quán)限。
找到C:\WINNT\system32\cmd.exe，點(diǎn)擊右鍵選擇屬性，進(jìn)入安全，然后添加禁止任何操作的權(quán)限。
通理，給C:\WINNT\explorer.exe也設(shè)置禁止操作的權(quán)限。

另外，還需要在“本地安全設(shè)置”，設(shè)置禁止ftpuser用戶(hù)本地登陸。
進(jìn)入控制面板 -> 管理工具 -> 本地安全策略 -> 本地策略 -> 用戶(hù)權(quán)利指派 -> 拒絕本地登陸。

設(shè)置都完成后，我們把Serv-U的啟動(dòng)身份切換到ftpuser。進(jìn)入控制面板 -> 管理工具 -> 計(jì)算機(jī)管理，找到Serv-U的服務(wù)。
雙擊它，打開(kāi)“登陸”對(duì)話(huà)框。當(dāng)前默認(rèn)為“本地系統(tǒng)帳戶(hù)”。修改為ftpuser用戶(hù)，并且把剛才設(shè)置的復(fù)雜密碼填寫(xiě)進(jìn)去 。
點(diǎn)擊確定，并且重新啟動(dòng)服務(wù)。

經(jīng)過(guò)如此設(shè)置，ftpuser運(yùn)行者將只能讀寫(xiě)規(guī)定的站點(diǎn)目錄，對(duì)其他目錄沒(méi)有寫(xiě)入權(quán)限。
而其本身是非system身份的普通用戶(hù)，降低了他對(duì)系統(tǒng)的潛在危險(xiǎn)。

最新評(píng)論